662   CSRF

一,定义:
CSRF(Cross-site request forgery)跨站请求伪造

二,原理:
当用户登录A网站之后,会话状态内,用户点了B网站上某个请求地址,该地址发送一个请求给A网站,比如请求关注某账号或者转账等,A网站服务器判断是在会话状态内,认为是用户提交的请求,所以成功伪造了一个请求

三,例子:
钓鱼网站,如果你在浏览器不小心点开钓鱼网页,而你浏览器存在许多网站的cookie,那么钓鱼网站会根据这些cookie伪造请求,对其他网站进行各种恶意请求,达到恶意操作的目的。

四,防范:
1,最常用的,csrf_token验证:
客户端每个请求都必须携带服务器提供的随机csrf_token值,服务器接收请求时先进行csrf_token验证。

2,利用验证码:
客户端发出请求必须输入验证码
3,利用referer
判断请求的来源referer




Leave a Reply

Your email address will not be published. Required fields are marked *